Što je otisak prsta na pregledniku?
Uobičajena istražna tehnika u provedbi zakona je prikupljanje otisaka prstiju na mjestu zločina. U vrijeme prikupljanja nije poznato kome pripadaju ti otisci prstiju, tako da je cilj veleprodajna kolekcija za kasnije analize. Ti otisci prstiju se kasnije uspoređuju s bazom podataka otisaka s poznatim vlasnicima kako bi se identificirali određene osobe.
Otisci prsta na pregledniku, a.k.a. otisak platna, djeluje na isti način: veleprodajna kolekcija što većeg broja identifikacijskih točaka preglednika na web mjestu koje se kasnije mogu uskladiti s karakteristikama preglednika poznatih osoba. U obje vrste otiska prsta, analiza možda neće otkriti identitet osobe, ali ipak može pokazati da je ista osoba obavljala različite aktivnosti.
Većina entuzijasta o privatnosti svjesna je da je primarni način na koji se mogu prepoznati putem interneta pomoću njihove IP adrese. TCP / IP, protokolarni paket koji Internet koristi nužno zahtijeva da se vaša IP adresa pošalje uz svaki zahtjev kako bi web poslužitelj znao kamo poslati odgovor.
Virtualne privatne mreže (VPN-ovi) postale su popularne u posljednjih nekoliko godina kao način sakrivanja stvarne IP adrese posuđivanjem IP adrese od svog VPN davatelja koju dijeli mnogo ljudi. To učinkovito skriva vašu stvarnu IP adresu. Promet u dnevniku web poslužitelja jednostavno prikazuje IP adresu VPN-a. Ali što još vaš preglednik šalje da VPN ne može pročistiti? Mnogo toga ovisi o konfiguraciji vašeg preglednika, ali nekima od njih jednostavno ne može pomoći. Usklađivanje podataka u zahtjevima preglednika može nekome omogućiti da vas identificira, čak i ako koristite VPN.
Kako se vrši otisak prsta?
Prikupljanje podataka može se izvršiti na dva načina; na poslužitelju i putem tehnologija na strani klijenta kao što su JavaScript i Adobe Flash®.
Kolekcija na strani poslužitelja
Dnevnici pristupa web mjestu na poslužitelju mogu prikupljati podatke koje šalje vaš preglednik. U najmanju ruku, to su obično zatraženi protokol i URL, IP adresa koja zahtijeva, referent (sic) i niz korisničkog agenta.
Pogledajmo standardni unos zahtjeva Nginx dnevnika pristupa pomoću Safari preglednika. To izgleda ovako:
11.22.33.4 – – [18 / travanj / [year]: 08: 04: 17 -0300] "GET /using-expressvpn-with-ubuntu-linux-mint-or-debian-linux/HTTP/1.1" 200 12539 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, poput Gecka) Verzija / 10.1 Safari / 603.1.30"
Moja IP adresa, preglednik i operativni sustav uključeni su u zahtjev. Preglednik i operativni sustav uključeni su u niz korisničkog agenta koji je ovaj dio zahtjeva:
Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 603.1.30 (KHTML, poput Gecka) Verzija / 10.1 Safari / 603.1.30"
Ako učitam istu stranicu pomoću Chromea, jedina je razlika što se korisnički agent sada prikazuje kao Chrome. Dnevnik prikazuje isti IP i isti operativni sustav. Dvije točke nisu dovoljne za konkretnu usporedbu, ali dovoljno je naznačiti da su ta dva zahtjeva mogla potjecati od iste osobe.
11.22.33.4 – – [18 / travanj / [year]: 08: 05: 36 -0300] "GET / using-expressvpn-with-ubuntu-linux-mint-or-debian-linux / HTTP / 1.1" 200 12581 "-" "Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, poput Gecka) Chrome / 57.0.2987.133 Safari / 537.36"
Web poslužitelji se također mogu konfigurirati za evidentiranje puno više podataka u svojim zapisnicima pristupa pomoću odredišta formata dnevnika.
Pored onoga što se može zabilježiti u zapisnicima pristupa web poslužitelju, preglednici također šalju niz zaglavlja. Web poslužitelj mora znati koje vrste sadržaja i kompresije razumije preglednik. Također je izuzetno često da se kolačići razmjenjuju između preglednika i web poslužitelja. U alatima za razvojne programere mog preglednika Chrome vidim da su ta zaglavlja poslana i uz moj zahtjev i da ih preglednik može dalje koristiti za otisak prsta:
: Tijelo: slumpedoverkeyboarddead.com
: Metoda: dobiti
: Put: / korištenje-expressvpn-s-ubuntu-linux-odlicno-ili-debian-linux /
: Shema: https
prihvati: tekst / html, aplikacija / XHTML + XML, aplikacija / XML, q = 0,9, slika / webp * / *, q = 0,8
prihvatiti kodiranje: gzip, ispuhavanje, sdch, br
prihvatiti-jezik: en-US, hr, q = 0,8
Kolačić: _ga = GA1.2.251051396.1499461219; _gat = 1
dnt: 1
preporučitelja: https: //slumpedoverkeyboarddead.com/
nadograditi-nesigurnim-zahtjeve: 1
user-agent: Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_12_4) AppleWebKit / 537.36 (KHTML, poput Gecko) Chrome / 57.0.2987.133 Safari / 537.36
Kolekcija na strani klijenta
To je lako sakupljanje informacija na strani poslužitelja, ali naši stari prijatelji na strani klijenta JavaScript i Adobe Flash® izdaju mnogo, puno više o vašem pregledniku. Na internetu postoji nekoliko web mjesta koja će pokazati koliko podataka pruža vaš preglednik na upit.
Na primjer, učim od Am I Unique? da će moj preglednik pružiti zastrašujući popis informacija iz mog preglednika kao što su:
- svaki font dostupan u mom sustavu
- popis dodataka koje sam instalirao
- razlučivost mog zaslona
- jezik mog sustava
- prihvaća li moj preglednik kolačiće
- i više. Cijeli popis onoga što sam sakuplja Am I Unique nalazi se ovdje, a moguće je i više.
Tablica u nastavku preuzeta je iz časopisa Am I Unique1 objavljenog u ožujku 2016. Imajte na umu da su dva najbogatija područja prikupljanja podataka JavaScript i Adobe Flash® na strani klijenta.
Razmotrite gornji primjer gdje je u zapisnicima poslužitelja prikazan moj IP, preglednik i operativni sustav. Sada dodajte na popis informacija koje isporučuju JavaScript i Adobe Flash® i možete početi vidjeti kako bi bilo lako povezati posjete. Ako dva posjeta dijele potpuno isti skup podataka, osim IP adrese, na primjer, ipak bi bilo moguće zaključiti da su ti posjeti bili od iste osobe. Ovo je posebno korisna tehnika kada netko koristi VPN zbog čega je njihova IP adresa manje korisna kao identifikacijska točka.
Kada koristite VPN, jedina tačka podataka koja se mijenja je IP adresa podnositelja zahtjeva. Am I Unique pokazuje da može prikupiti 21 podatkovnu točku, ne uključujući čak tri podatkovne točke iz zapisnika poslužitelja. Stoga upotreba VPN-a za promjenu jedne točke podataka (vaše IP adrese) i dalje ostavlja 23 točke podataka za usporedbu.
Ne postoji globalni standard za ljudsko uzimanje otisaka u policiji, ali svakako bi se svaki otisak prsta s 23 mjesta podudaranja smatrao ogromnim dokazom.
Ažuriraj: Firefox je objavio da će blokirati pokušaje otiska prsta na web stranici počevši od verzije 58. Na gornjoj grafici primijetit ćete da se podaci platna iz mog preglednika stavljaju u prilično mali skup preglednika. Ispuštanjem određenih zahtjeva za platnu pregledniku i podešavanjem rezultata, web stranice to mogu smanjiti na vrlo jedinstveni otisak prsta. Počevši s Firefoxom 58, preglednik će tražiti korisnike da odobre zahtjeve platna prije nego što im dopuste.
Kako radi usporedba??
Većina osoba koje se bave privatnošću misle na to da što manje informacija pružite, vaša će privatnost biti bolja. To je istina samo u svijetu u kojem se možete odlučiti da nećete raditi stvari. Na primjer, ako ne želim imati nikakve osobne podatke na Facebooku, onda odlučim ne koristiti Facebook. Međutim, gotovo je nemoguće ne upotrebljavati internet ovih dana, pa ćete morati ostaviti otiske otisaka. Stoga je cilj ovdje otežati povezanost vaših privatnih aktivnosti s vašim javnim aktivnostima. Održavanjem ovog odvajanja sprječava se da vas osobno identificira s podacima iz aktivnosti koje želite zadržati privatnima.
Međutim, dobre tehnike privatnosti poput zaključavanja preglednika da onemoguće JavaScript, kolačiće i zahtjeve webRTC učinit će vaš preglednik jedinstvenim jer manje ljudi to radi. Na primjer, koristeći Panopticlick Electronic Foundation Frontier Foundation, možemo vidjeti razliku u dvije konfiguracije. Ako je omogućen Javascript, moj je preglednik lako pratiti:
S isključenim JavaScriptom, moj se preglednik i dalje prati, ali postaje toliko jedinstven da odgovara samo 1 u oko 100 000 preglednika. Kad uzmete u obzir da postoje milijuni korisnika interneta, biti 1 na 100.000 relativno je jedinstveno.
Važno je napomenuti da je na raspolaganju vrlo malo podataka o otiscima prstiju. Iako postoje brojna mjesta poput Am I Unique (352.000 zapisa u ovom trenutku), Panopticlick (470.161 zapisa) i drugih, imaju relativno malu količinu podataka s kojima mogu raditi. Osim toga, vjerovatno je da je većina tih podataka došla od korisnika koji misle na privatnost, a ne od opće internetske populacije, tako da statistike vjerojatno ne odražavaju na prosječnog korisnika interneta. Prava opasnost dolazi od mogućnosti da web stranice poput Facebooka, s 1,86 milijardi redovnih korisnika mjesečno, prikupljaju ogromne baze podataka otiska prsta na pregledniku. Kad vrlo popularne web stranice poput te počinju prikupljati podatke o otiscima prstiju preglednika, spektar nevidljivog praćenja interneta postaje vrlo stvaran.
Što je vaš preglednik jedinstveniji, to je lakše prepoznavanje na svim web lokacijama. Dakle, u ovom slučaju ne isplati se zaključati vaš preglednik. S druge strane, surfanje webom s nesigurnim preglednikom danas je izuzetno rizična aktivnost, pa što je najbolje rješenje?
Kako se možete zaštititi
Budući da ne postoji izvediv način da se istim preglednikom sigurno koristi za privatne i javne internetske aktivnosti, najbolja zaštita od otiska prsta trenutno je razdvajanje tih dviju aktivnosti. Koristite jedan sustav ili preglednik za svakodnevne aktivnosti, a zasebni za privatne aktivnosti. Najbolje je otići korak dalje i upotrijebiti alat za anonimnost kao što je Whonix za vaše privatne aktivnosti kako biste osigurali još veće razdvajanje između vaših privatnih i javnih aktivnosti. Ako postignete ovo razdvajanje, potrebna je dobra operativna sigurnost.
OpSec (operativna sigurnost)
OpSec je postupak prikupljanja velikih količina dostupnih informacija o nekome koji na prvi pogled izgleda nepovezano, ali može se analizirati kako bi pružio neke vrlo specifične informacije. Vrlo očiti primjer je prijava na vaš Facebook račun dok koristite alat za zaštitu privatnosti, poput Tor. Nakon što se prijavite, potvrdili ste svoju identifikaciju bez potrebe da protivnik analizira otisak prsta svog preglednika..
OpSec-ovim pogreškama nije kraj što olakšava korelaciju vaših javnih i privatnih internetskih aktivnosti, ali evo nekoliko polazišta.
- Vaše privatne internetske aktivnosti nikada ne bi trebale uključivati upotrebu web stranice koju također koristite u svom javnom internetskom životu. Usklađivanje računa, poput primjera na Facebooku, smanjit će se upravo kroz vaše pokušaje privatnosti.
- Vaše privatne aktivnosti trebale bi izbjegavati sastavljanje poruka. To štiti od stilometrijske analize. Ako nije moguće izbjeći sastavljanje poruka, trebali biste znatno promijeniti stil pisanja.
- Za potpuno privatne aktivnosti koristite potpuno drugačiji računalni sustav koji je trajno povezan s alatom za anonimnost poput Tor-a ili pouzdan VPN. Ovo pomaže u sprječavanju nenamjernog curenja podataka kao što su DNS upiti ili WebRTC zahtjevi.
- Ako VPN koristite za privatne i javne internetske aktivnosti, povežite se s drugim VPN poslužiteljem za svaku vrstu aktivnosti. Možda ćete također htjeti koristiti VPN s Torom. U tom slučaju postoje neki VPN-ovi koji s Torom djeluju bolje od ostalih.
- Ne upotrebljavajte korisnička imena, adrese e-pošte ili bilo koje druge podatke o računu iz javnih aktivnosti u okviru svojih privatnih aktivnosti. To štiti od ostavljanja nenamjernog traga krušnih mrvica poput onog koji je pomogao identificiranju vlasnika ilegalne tržnice Silk Road.
Razdvajanje aktivnosti poput ove neće spriječiti da neke vaše javne ili privatne aktivnosti budu otisnute u određenoj mjeri, ali može spriječiti povezanost između te dvije vrste aktivnosti. Promatrač će vjerojatno moći reći da je ista osoba obavljala te privatne aktivnosti, ali da će biti manje sposobna povezati tu osobu s vašim javnim identitetom.
Otisci prsta na pregledniku i GDPR
GDPR i nadolazeća Uredba o privatnosti ePrivatnosti vjerojatno će regulirati otiske prsta na pregledniku, kao i druga sredstva praćenja korisnika poput kolačića. GDPR nikada ne pominje otiske prstiju preglednika, ali to je namjerno; zakonodavci su iz prošlih iskustava naučili držati se pravila neutralnim od bilo koje konkretne tehnologije. Uredba o privatnosti ePrivatnosti, s druge strane, izričito spominje otiske prstiju na uređajima.
Umjesto toga, GDPR jednostavno definira osobne podatke kao sve podatke koji se mogu povezati s osobom koja se može identificirati. To uključuje mnoge identifikatore, uključujući kolačiće, IP adrese, ID-ove oglašavanja i, da, otiske prsta. Zaklada Electronic Frontier objašnjava da „identifikacija ne zahtijeva utvrđivanje identiteta korisnika:
„Dovoljno je da subjekt koji obrađuje podatke može neizravno identificirati korisnika na temelju pseudonimnih podataka kako bi izveo određene radnje na temelju takve identifikacije (na primjer, predstaviti različite oglase različitim korisnicima na temelju njihovih profila). To vlasti EU nazivaju izdvajanjem, povezivanjem ili zaključivanjem. “
GDPR navodi da svaki subjekt koji obrađuje osobne podatke mora dokazati da imaju legitiman razlog. Nadalje, Direktivom o privatnosti e-privatnosti koja će vjerojatno stupiti na snagu [year]. zahtijevat će da web stranice i aplikacije dobiju suglasnost korisnika prije nego što ih prate. Povrh toga, tvrtke koje otiskom prstiju moraju omogućiti korisnicima da vide koje podatke prikupljaju, kao i njihov opseg, svrhu i pravnu osnovu.
“Preglednik mjerenja AmIUnique otisaka prstiju s primjerom”. Pierre Laperdrix, Walter Rudametkin, Benoit Baudry. Ljepotica i zvijer: Preusmjeravanje modernih web preglednika za stvaranje jedinstvenih otisaka prstiju. 37. IEEE simpozij o sigurnosti i privatnosti (S&P 2016), svibanj 2016., San Jose, Sjedinjene Države.
Ovaj članak govori o otiscima prstiju na pregledniku i kako se oni prikupljaju. Otisak prsta na pregledniku je sličan prikupljanju otisaka prstiju na mjestu zločina, ali se prikupljaju identifikacijske točke preglednika na web mjestu koje se kasnije mogu uskladiti s karakteristikama preglednika poznatih osoba. Analiza otiska prsta može pokazati da je ista osoba obavljala različite aktivnosti, ali možda neće otkriti identitet osobe. Prikupljanje podataka može se izvršiti na poslužitelju i putem tehnologija na strani klijenta kao što su JavaScript i Adobe Flash®. Kako bi se zaštitili, preporučuje se korištenje virtualnih privatnih mreža (VPN-ova) i općenito povećanje operativne sigurnosti (OpSec). Otisci prsta na pregledniku također su povezani s GDPR-om, pa je važno biti svjestan kako se prikupljaju i koriste podaci o korisnicima.